InfoDirectory管理ツールで使用するJREの脆弱性の問題 (2002年6月14日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: |
SystemWalker/InfoDirectoryおよびINTERSTAGEバンドルのInfoDirectory管理ツールのJREを使用して、悪意のあるアプレットにより情報の漏洩やデータ破壊が行われる可能性がある。 |
| 製品提供元: |
富士通株式会社 |
| 該当製品: |
SystemWalker/InfoDirectory 10.0(PCクライアント)
SystemWalker/InfoDirectory V10.0L10
INTERSTAGE Application Server V4.0L20 |
| 該当システム: |
PRIMEPOWER, PRIMERGY, GP5000 |
| システムへの影響: |
悪意のあるアプレットにより情報の漏洩やデータ破壊が行われる可能性がある。 |
| 一時的な回避方法: |
4.に示します。 |
| パッチ: |
あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
サンマイクロシステムズより公開されましたSecurity Bulletin Number 00218です。
JavaVMのBytecode Verifierのキャスト処理にセキュリティホールが見つかっています。通常のJavaアプレットでは、このセキュリティホールを利用することはまずございませんがバイナリを改変した悪意のあるアプレットであれば、このセキュリティホールを利用してユーザー自身がとることのできる動作をとれる可能性があります。この場合、情報の漏洩やデータ破壊が予測されます。なお、対象はクライアント側のJavaVMとなります。
発生条件は次のとおりです。
1)Java Plug-inを使用して、かつ、
2)Java Plug-Inのプロパティの詳細タグでインストールした製品添付のJREへのパスをとおした状態で、かつ、
3)信頼できないWebサイトからBytecode Verifierのセキュリティホールを利用する、悪意のあるアプレットを読み込んだ場合。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 該当システムの範囲
| 該当コマンド/ファイル |
製品名 |
対象OS |
| %ID_DIR%\Mgr\jre |
SystemWalker/InfoDirectory |
Windows 95/ 98/ Me
Windows NT 4.0/ 2000
Windows XP |
| %INTERSTAGE%\ID\Mgr\jre |
INTERSTAGE Application Server |
Windows 95/ 98/ Me
Windows NT 4.0/ 2000
Windows XP |
ID_DIRは、InfoDirectoryのインストールディレクトリを表します。
INTERSTAGEは、INTERSTAGEのインストールディレクトリを表します。
本現象はWindowsで発生する問題です。SystemWalker/InfoDirectory 10.0(PCクライアント)についても該当するコマンドはWindows上のコマンドになります。
3. 発見されている問題点
悪意のあるアプレットによりローカル資源のアクセスによるデータ破壊や情報漏洩が行われる場合があります。
4. 一時的な回避方法
- JavaSoftのホームページからJRE1.3.1_03以降をダウンロードする。
- ダウンロードしたJREをInfoDirectoryがインストールされているマシンにインストールする。InfoDirectoryがインストールされているマシンに既にJREがインストールされている場合は、別のマシンにインストールしてください。JREはデフォルトでは以下の場所にインストールされます。
<OSの起動ドライブ>\Program Files\JavaSoft\JRE\1.3.1_03
- SystemWalker/InfoDirectoryの場合は、%ID_DIR%\Mgr\jreを削除する。
INTERSTAGEにバンドルされているInfoDirectoryの場合は、%INTERSTAGE%\ID\Mgr\jreを削除する。
- SystemWalker/InfoDirectoryの場合は、2でダウンロードしたJREを%ID_DIR%\Mgr\jreにコピーする。%ID_DIR%はInfoDirectoryのインストールディレクトリを示します。
INTERSTAGEにバンドルされているInfoDirectoryの場合は、2でダウンロードしたJREを%INTERSTAGE%\ID\Mgr\jreにコピーする。%INTERSTAGE%はInfoDirectoryのインストールディレクトリを示します。
5. パッチ情報
| 製品名 |
対象OS |
パッケージ名 |
Patch ID |
| SystemWalker/InfoDirectory 10.0 |
Solaris 2.6/ 7/ 8 |
FJSVdirs |
911843-01 |
| SystemWalker/InfoDirectory V10.0L10 |
Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP |
- |
TP04378 |
| INTERSTAGE Application Server V4.0L20 |
Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP |
- |
TP04432 |
お手数ですが、本修正の入手方法など詳細に関しましては、
当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2002年9月13日 5.パッチ情報のパッケージ名記載ミスを修正(誤)FJSVdirw→(正)FJSVdirs
- 2002年6月14日 新規掲載
